电脑使用技巧|Chrome浏览器CSP漏洞导致数十亿用户面临数据被盗风险
Threat Post 报道称:基于 Chromium 内核的浏览器被曝存在一个可被绕过的内容安全策略(简称 CSP)漏洞 , 导致数十亿用户易被攻击者窃取数据和执行恶意代码 。 PerimeterX 网络安全研究人员 Gal Weizman 指出 , 该漏洞(CVE-2020-6519)可在 Windows、Mac 和 Android 版 Chrome 浏览器 , 以及 Opera 和 Edge 中找到 。
本文插图
(来自:PerimeterX)
如果你仍在使用 2019 年 3 月发布的 Chrome 73、以及 2020 年 7 月前的 Chrome 83 , 还请尽快更新至已修复 CVE-2020-6519漏洞的 Chrome 84。
据悉 , 作为一项 Web 标准 , 内容安全策略(CSP)旨在阻止某些类型的攻击 , 比如跨站脚本(XSS)和数据注入(data-injection) 。
CSP 允许 Web 管理员指定浏览器可执行脚本的有效源范围 , 以便兼容该标准的浏览器仅执行可信来源的脚本加载操作 。
本文插图
浏览器易受攻击 , 但网站并不这样 。
Weizman 在周一发布的研究报告中指出:“CSP 是网站所有者用于执行数据安全策略、以防止在其网站上执行恶意影子代码的主要方法 , 因而当其绕过浏览器时 , 个人用户的数据就面临着风险” 。
目前大多数网站都已事实 CSP 内容安全策略 , 包括大家熟知的 ESPN、Facebook、Gmail、Instagram、TikTok、WhatsApp、Wells Fargo 和 Zoom 等互联网巨头 。
不过一些知名的站点得以幸免 , 包括 GitHub、谷歌 Play 商店、领英 LinkedIn、PayPal、Twitter、雅虎登录页面、以及 Yandex。
本文插图
【电脑使用技巧|Chrome浏览器CSP漏洞导致数十亿用户面临数据被盗风险】要利用此漏洞 , 攻击者必须先通过暴力破解或其它方法来访问 Web 服务器 , 以便能够修改其 JavaScript 代码 。
然后攻击者可以在 JavaScript 中添加 frame-src 或 child-src 指令 , 以允许注入代码并强制加载执行 , 从而绕过站点 CSP 内容安全策略的防护 。
尽管该漏洞被 CvSS 认定为中等严重等级(6/10) , 但由于它会影响 CSP 的执行 , 因此具有了更广泛的意义 。 换言之 , 当设备不幸中招时 , 事故造成的损害将严重得多 。
本文插图
举个例子 , 若 CSP 措施得当 , 网站仍可限制对此类敏感信息的访问 。 但以类似的方式 , 恶意 Web 开发者可利用第三方脚本 , 向付款页面加注一些额外的功能 。
更糟糕的是 , 这个漏洞已在 Chrome 浏览器中存在了一年以上 , 直到近日才得到彻底修复 。 因而 Weizman 警告称 , 该漏洞的全部影响尚不为人所知 。
最后 , 为避免遭受此类攻击而导致个人身份信息(PII)等敏感数据泄露 , 还请大家立即将浏览器升级到最新版本 。
推荐阅读
- 平板电脑|原创 开学数码四件套,你正缺哪样?
- 电脑使用技巧|USB功能激活方法再不记住就OUT了?
- 电脑使用技巧|dos命令label图文教程,创建更改删除磁盘的卷标
- 电脑使用技巧|五个技巧解决笔记本电脑进水故障
- 电脑使用技巧|GoodNotes 5 for Mac(笔记软件)v5.5.3中文激活版
- 飞行模式|网络图标只有飞行模式怎么办
- 电脑使用技巧|路由器的作用是什么?WAN口和LAN口有什么区别?连接线怎么插?
- 平板电脑|摩托罗拉Xoom平板拆解
- 电脑使用技巧|微软重新发布补丁对Windows 10更新:修复磁盘优化程序等
- 马斯克|马斯克公布最新"脑机"Neuralink:"大脑与电脑连接"更进一步